<?php
	// Abrimos la sesion del cliente
	session_start();
	// Comprobamos si es una peticion por POST
	if($_SERVER['REQUEST_METHOD'] == 'POST'){
		// Comporbamos si el post esta bien formulado
		if(isset($_POST['datosFormAcceso'])){
			// Obtenemos el json enviado por post
			$datosFormAcceso = json_decode($_POST['datosFormAcceso'], true);

			// strip_tags elimina codigo html por si lo hubiese, previene un posible ataqye de XSS (que se ejecute código
			// html en nuestro servidor enviado desde un formulario)
			$idComercio = strip_tags($datosFormAcceso['idComercio']);
			$password = strip_tags($datosFormAcceso['password']);
			$tokenCSRF = strip_tags($datosFormAcceso['tokenCSRF']);
			$tipoFormulario = strip_tags($datosFormAcceso['tipoFormulario']);

			// Comprobamos la igualdad de tokens, si no son iguales es que estamos ante un ataque CSRF
			if(!isset($_SESSION[$tipoFormulario]) || $tokenCSRF !== $_SESSION[$tipoFormulario]){
				// Ataque CSRF
				throw new RuntimeException('Ataque CSRF');
			}else{
				require_once('../bd/db_conectorMySQL.php');
		    	// Conectamos la base de datos
				$dbConfiguracion = new DB_ConectorMySQL();
				// Comprobamos si el usuario esta registrado en la DB
				$respuestaServidor = $dbConfiguracion -> autentificarConexionPortalWeb($idComercio, $password);
				// Si existe el usuario almacenamos su información de sesión
				if($respuestaServidor['exito']){
					//almacenaremos la información de su cuenta para que en los futuros
					// accesos no tenga que enviar sus credenciales
			    	$_SESSION['usuario'] = $datosFormAcceso['idComercio'];
			    	$_SESSION['password'] = $datosFormAcceso['password'];
			    	$_SESSION['usuarioAutentificado'] = "autentificado_si";
			    	$_SESSION['fechaUltimoAcceso']= date("Y-n-j H:i:s");
			    	$_SESSION['perfil']= $respuestaServidor['perfil'];
			    	$_SESSION['nombreUsuario'] = $dbConfiguracion -> obtenerNombreUsuarioConIdComercio($idComercio, $respuestaServidor['perfil'], $respuestaServidor['nombre']);
				}				
				echo json_encode($respuestaServidor);
			}
		}else{
			echo "POST MAL FORMULADO";
		}
	}
?>